Autora: Lilian Issa Contreras. Abogada en Derecho.com
El Tribunal de Justicia de la Unión Europea se ha pronunciado hoy sobre la validez de la Decisión de la Comisión 2000/520, de 26 de julio del 2000, sobre la adecuación conferida por los principios del Puerto Seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América. Dicha Decisión permite la transferencia internacional de datos entre la Unión Europea y Estados Unidos por considerarse que las empresas adheridas al Protocolo de Puerto Seguro (Safe Harbor) proporcionan un nivel de protección equiparable al establecido para el conjunto de estados de la Unión Europea.
Este fallo tiene su origen en la reclamación interpuesta por un Usuario de la red social Facebook de nacionalidad austríaca (Sr. Scherms) respecto del cual, al igual que sobre el resto de usuarios europeos de dicha red social, sus datos eran transferidos a los servidores de la Compañía en Estados Unidos. El Sr. Schrems presentó una denuncia ante la autoridad de control de Irlanda por considerar que “a la luz de las revelaciones hechas en 2013 por Edward Snowden sobre las actividades de los servicios de inteligencia de los Estados Unidos, la legislación y la práctica de los Estados Unidos no ofrecían protección suficiente contra la vigilancia de las autoridades públicas de los datos transferidos a ese país“. La autoridad de protección de datos irlandesa desestimó la denuncia considerando que “bajo el esquema de «puerto seguro” Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos”.
A la luz de la normativa europea, el artículo 25 de la Directiva 95/46 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, recoge el principio en virtud del cual no pueden transferirse datos personales a un tercer país si éste no garantiza un nivel de protección adecuado a tale datos. Por tanto, el objetivo de este artículo es que se garantice la continuidad de la protección que dicha Directiva confiere a los datos personales que son objeto de transferencia internacional. Por ello, para alcanzar un nivel de protección equivalente al que tiene la Unión Europea no basta con que las entidades estadounidenses se adhieran al referido Protocolo, sino que es necesario que se lleven a cabo controles válidos para garantizar que efectivamente dichas empresas cumplen con dichas garantías. Esto significa que, el hecho de que en el año 2000 se acordara que las entidades adheridas al Protocolo de Puerto Seguro garantizaban un nivel de protección equiparable al fijado en la Unión Europea no puede mantenerse de manera indefinida, ya que pueden darse circunstancias, debido a la situación cambiante en la que nos vemos inmersos, que pueden hacer exigible el reconsiderar el carácter adecuado del nivel de protección de un tercer país. Este tercer país tiene una obligación permanente de garantizar el nivel adecuado de protección.
Ante esta situación, el Tribunal de Justicia de la Unión Europea ha analizado si la Decisión sobre Puerto Seguro es o no válida, llegando las siguientes conclusiones:
1. La Comisión está obligada a constatar que los Estados Unidos, por razón de su legislación interna y sus compromisos internacionales, ofrece un nivel de protección equivalente al garantizado dentro de la Unión Europea.
2. El Tribunal observa que la Comisión no realizó tales comprobaciones sino que se limitó a examinar simplemente el Protocolo de Puerto Seguro.
3. Este Protocolo sólo se aplica a las empresas que se adhieren al mismo, pero no al resto de entidades y autoridades públicas de Estados Unidos que, por motivos de seguridad nacional o interés público, pueden acceder a los datos. De hecho, estas finalidades (seguridad nacional e interés público, o la simple aplicación de la ley) están por encima del Protocolo de Puerto Seguro.
4. El Tribunal considera que las autoridades de Estados Unidos pudieron acceder a los datos transferidos desde estados miembros de la Unión Europea a los Estados Unidos, con fines incompatibles por los cuales fueron transferidos y siendo dicho acceso desproporcionado para la protección de la seguridad nacional.
5. Además, los usuarios afectados no tienen mecanismos accesibles para rectificar o borrar sus datos u oponerse a tales tratamientos.
6. El Tribunal considera que la Decisión de Puerto Seguro niega las autoridades nacionales de supervisión sus poderes cuando una persona pone en duda si la Decisión de la Comisión 2000/520 es compatible con la protección de la privacidad y de los derechos y libertades fundamentales de las personas.
Por todo ello, el Tribunal de la Unión Europea declara que la Decisión de la Comisión 2000/520 de Puerto Seguro es inválida, requiriendo a la autoridad de control de Irlanda que dé curso a la queja del Sr. Scherms con la debida diligencia y decida si, en virtud de lo establecido en el Directiva 95/46, debe decidir la suspensión de la transferencia internacional de datos de los usuarios europeos de Facebook a los Estados Unidos por no ofrecer dicho país un nivel de protección equiparable al establecido en la Unión Europea.
Disculpa, debes iniciar sesión para escribir un comentario.